Seguridad en la Red de Área Extensa de Propósito General

Transcripción

1 Seguridad en la Red de Área Extensa de Propósito General Logros y desafíos 1

2 Índice de contenidos 1. Antecedentes. 2. Qué es CCEA? 3. Creación del CCEA. 4. Nuevo escenario. 5. Los servicios del CCEA. 6. Algunos indicadores del CCEA. 7. Balance de la singladura. 8. El PDCIS y la seguridad. 9. La seguridad para el CCEA. 10. Controles de seguridad en WAN PG. 11. Conclusiones. 2

3 Antecedentes (I) IBM IBM Ejército de Tierra Armada IBM IBM Sede Central (OC) Ejército del Aire 3

4 Antecedentes (II) IMPLICACIONES Estructuras de Dirección de los Sistemas de Información de carácter departamental. Gestión de los Recursos Humanos TIC a nivel departamental. 4

5 Qué es CCEA? Orden DEF/315/2002, de 14 de Febrero: Plan Director de Sistemas de Información y Telecomunicaciones del MINISDEF. Se concentrarán los actuales Centros de Proceso de Datos y Explotación en un único Centro de Explotación y Apoyo, ubicado en dos emplazamientos distintos. Dicho Centro asumirá la dirección de la gestión y explotación de los sistemas de información, de la plataforma informática y de las telecomunicaciones del Ministerio de Defensa. 5

6 Creación del CCEA Instrucción 236/2002, de 7 de Noviembre: Creación del Centro Corporativo de Explotación y Apoyo para los Sistemas de Información y Telecomunicaciones del MINISDEF. Misión: Asumir la dirección de la gestión y explotación de los sistemas de información, de la plataforma informática y de las telecomunicaciones del Ministerio de Defensa Sistemas de mando y control militar: responsabilidad del Jefe del EMAD. CCEA únicamente apoyo cuando se determine. Queda encuadrado en la SDG de Servicios Técnicos y Telecomunicaciones. Comienza sus actividades el 15 de Julio de

7 Nuevo escenario (I) Fuerzas desplegadas en Misiones de Paz y organizaciones internacionales Emplazamiento en TN IBM Emplazamiento en TN Emplazamiento en TN Centro Corporativo de Explotación y Apoyo del Ministerio de Defensa Emplazamiento en TN 7

8 Nuevo escenario (II) IMPLICACIONES Voluntad de centralización de la gestión y explotación de la infraestructura tecnológica, con criterios de eficiencia y eficacia al servicio de toda la corporación. Se han adaptado las estructuras TIC del OC para asumir la Dirección de los Sistemas de Información de toda la corporación? Han asumido todos los departamentos ministeriales la nueva visión corporativa de la gestión TIC? Se ha actualizado el modelo de gestión de los RRHH al nuevo escenario corporativo? 8

9 Los servicios del CCEA 1. Procesamiento de datos. 2. Administración de BBDDs. 3. Centro de Atención al Usuario. 4. Comunicaciones de datos. 5. Comunicaciones de voz. 6. Distribución, inventario y gestión de activos TIC del MINISDEF. 7. Administración del correo electrónico corporativo y del entorno de trabajo colaborativo IBM LOTUS. 9

10 Los servicios del CCEA (II) 8. Establecimiento, gestión y mantenimiento del Sistema de Calidad, con definición del catálogo de servicios del Centro. 9. Acceso corporativo centralizado a Internet. 10. Gestión de la publicación de los contenidos web del Ministerio en Internet. 11. Administración y explotación de las plataformas de los diversos Sistemas de Información de la Intranet. 12. Protección de datos y sistemas. Continuidad del servicio. 10

11 Algunos indicadores del CCEA (I) Conectividad (en Territorio Nacional y ZOs): 6 emplazamientos tipo N (aproximadamente usuarios). 16 emplazamientos tipo 1 (aproximadamente usuarios). 120 emplazamientos tipo 2 (aproximadamente usuarios). 268 emplazamientos tipo 3 (aproximadamente usuarios). 292 emplazamientos tipo 4 (aproximadamente usuarios) 11

12 Algunos indicadores del CCEA (II) Atención al usuario: llamadas recibidas (Sep-06) 12

13 Algunos indicadores del CCEA (III) Usuarios con acceso a Internet y correo Notes Usuarios del sistema Lotus Domino administrados: Usuarios Lotus Notes con cuenta de correo interno: Usuarios Lotus Notes con cuenta de correo externo: Aplicaciones workflow de trabajo colaborativo administradas: 89 13

14 Algunos indicadores del CCEA (IV) Plataformas en explotación: Mainframe OS/390-z/OS Sistemas Operativos Windows/UNIX-Linux: 250 aprox. SGBDs: ADABAS, DB2, SYBASE, ORACLE, SQL 2000, Tamino Implantación y administración de PKI: Fase I: usuarios (en ejecución). Próximas fases: Extensión a toda la organización. Centro de Personalización de Tarjetas del Ministerio. 14

15 Algunos indicadores del CCEA (V) Conectividad voz: Gestión de líneas móviles. Gestión de líneas en territorio nacional. Gestión de 300 equipos para comunicaciones satélite. Gestión de 650 centrales. Gestión de 80 proyectos de mejora de cobertura en emplazamientos MINISDEF. Gestión de Guía Telefónica Unificada y control de gasto telefónico. 15

16 Balance de la singladura (I) Nuestra vocación Ofrecer un servicio TIC de calidad a toda la organización MINISDEF y, en particular, a las Fuerzas Armadas. 24 x 7 x x 7 x

17 Balance de la singladura (II) Nuestras prioridades 1. Garantizar, conforme a unos Acuerdos de Nivel de Servicio, todas las actividades TIC que soportan los procesos de la organización MINISDEF y, especialmente, aquellos de carácter crítico. 2. Generar confianza en el usuario: Disponibilidad permanente. 17

18 Un poquito de (seguridad) por favor!!! Implicaciones seguras de las líneas generales del PDCIS: Sistema de Información específico del Área funcional de Seguridad: Sistema de Identificación y Control de Acceso Físico. Infraestructura tecnológica: Implantación de 2 WAN: Propósito General y Mando y Control Militar. Dominio único para la WAN de Propósito General. Gestión de identidades: Directorio Corporativo único. Infraestructura de Clave Pública. Tarjeta Electrónica del Ministerio de Defensa (TEMD). 18

19 Lectura de cabecera Orden Ministerial 76/2006: Política de Seguridad de la Información del Ministerio de Defensa. Orden Ministerial 76/2002: Política de Seguridad para la protección de la información del Ministerio de Defensa almacenada, procesada o transmitida por SI,s y telecomunicaciones (en proceso de revisión). Definición del concepto de AOS (Autoridad Operacional del Sistema): Responsable del desarrollo, operación y mantenimiento del Sistema durante su ciclo de vida: de sus especificaciones, de su instalación y de la verificación de su correcto funcionamiento. Real Decreto 421/2004: Regulación del Centro Criptológico Nacional. Series CCN-STIC (normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas TIC de la Administración) Criterios de Seguridad, Normalización y Conservación para las aplicaciones utilizadas para el ejercicio de potestades (MAP). 19

20 La seguridad para el CCEA Responsabilidades: Supervisión y análisis de las actividades de usuarios y administradores de la WAN PG: SOs y software malicioso. Infraestructura de red. BDs y aplicaciones. Administración de Sistemas de Seguridad. Gestión PKI. Seguridad de las instalaciones y personal CCEA. 20

21 Controles de seguridad en WAN PG (1) Consideraciones previas: El SEDEF ha nombrado al Inspector General CIS como AOS de la WAN PG. La Inspección General CIS ha determinado que en la WAN PG se manejará información hasta nivel DIFUSIÓN LIMITADA (clasificación que se aplicará a activos de información cuya revelación no autorizada pudiera ir en contra de los intereses y la misión del Ministerio de Defensa). 21

22 Controles de seguridad en WAN PG (2) Implantación de un dominio único para todas las LAN de Propósito General: Beneficios: Control de inventario. Control de configuración. Actualización permanente del SW de las estaciones. Distribución centralizada de software. Administración remota. Implantación de directivas de seguridad. 22

23 Controles de seguridad en WAN PG (3) Directorio Corporativo de Defensa Beneficios: Gestión de identidades de los usuarios de los diferentes servicios de la WAN PG. 23

24 Controles de seguridad en WAN PG (4) Infraestructura de Clave Pública (PKI) y Tarjeta Electrónica (TEMD) del Ministerio de Defensa Beneficios: Servicios básicos: Autenticación en Sistemas, cifrado y firma electrónica. Otros servicios: credencial de acceso a instalaciones. En el futuro: fusión con la Tarjeta Militar de Identidad. 24

25 Controles de seguridad en WAN PG (5) Revisión del Plan de Contingencias de los SIs Beneficios: Continuidad de los procesos críticos del Ministerio soportados por SIs Definido en los nuevos sistemas que se implantan. En proceso de adaptación para los sistemas heredados. 25

26 Controles de seguridad en WAN PG (6) Soluciones a las necesidades de interconexión con el exterior: Beneficios: Hasta 2006: gestión de una DMZ para servicios de correo electrónico, navegación a Internet y alojamiento de los principales sitios web publicados. Soluciones a medida para interconexión con entidades colaboradoras y personal propio desplazado 26

27 Controles de seguridad en WAN PG (6) Soluciones a las necesidades de interconexión con el exterior desde 2007: Nodo INET MDEF MDEF Servicios Internet/Extranet Exterior Nodo Servicios Web Internos Servicios Web Intranet B.O.E. mdef.es EMAD etc. Nodo Servicios Web Externos Actual Servicio Hosting Nuevos servicios Web corporativos a ciudadanos ISP Internet Usuarios Externos Red Corporativa WAN PG Nodo Internet Corporativa Servicios de Correo Corporativo Red Remota PG Acceso a Internet Corporativo Distribución Usuarios MINISDEF PSTN Nodo Redes Remotas Acceso VPN/IPSec a WAN PG Modelo de Arquitectura para Redes Remotas de Propósito General FR/ATM Terceros NETMA Nodo Extranet Modelo de Arquitectura para el Nodo Extranet del MINISDEF Intranet Administrativa AGE Terceros, VPN SSL, Móviles, PDA, Intranet Administrativa, RDSI/RTB 27

28 Controles de seguridad en WAN PG (7) Gestión y monitorización de eventos de seguridad (SIM): Beneficios: Conocimiento en tiempo real de lo que ocurre en los sistemas de la WAN de PG. Toma de decisiones para prevenir y, en su caso, defenderse. Entorno con elevado grado de automatización. Obtención y conservación de evidencias. 28

29 Controles de seguridad en WAN PG (7) Gestión y monitorización de eventos de seguridad: LogICA Conocimiento Información Datos Valor para la Organización Incidente Análisis de situación Análisis de amenazas Descubrimiento de de patrones Consolidación // Prioritización Correlación Normalización Filtrado Recogida Explotación Centralización Recolección 29

30 Controles de seguridad en WAN PG (7) Gestión y monitorización de eventos de seguridad: LogICA 30

31 Controles de seguridad en WAN PG (7) Gestión y monitorización de eventos de seguridad: LogICA 31

32 Controles de seguridad en WAN PG (8) Ejecución de auditorías externas: Beneficios: Verificación independiente de los niveles de seguridad. En 2004 y 2005, ejecutadas sobre DMZ Nodo Internet y sobre servicios web publicados en Internet. 32

33 Controles de seguridad en WAN PG (9) Control y gestión de las redes WIRELESS desplegadas: Beneficios: Carácter restrictivo. Concesión de autorización por la AOS de la WAN. Configuración conforme a la Guía de Seguridad CCN-STIC-406 Seguridad en redes inalámbricas basadas en el estándar

34 Controles de seguridad en WAN PG (10) Securización de todos los dispositivos TIC de la WAN (servidores, WS, electrónica de red, ): Beneficios: Establecimiento de una configuración segura de los dispositivos más allá de las configuraciones comerciales de serie. Conforme a las guías elaboradas por el Centro Criptológico Nacional.. 34

35 Controles de seguridad en WAN PG (11) Gestión y control de terminales móviles (portátiles y PDAs): Beneficios: La información de la WAN PG no debe bajar a ningún dispositivo móvil o portable que no implemente mecanismo de cifrado certificado a nivel nacional. Configuración conforme a la Instrucción Técnica CCN-STIC-301 (Requisitos STIC). 35

36 Controles de seguridad en WAN PG (12) Revisión de las directrices de declaración de ficheros sujetos a LOPD: Beneficios: Aportar una visión corporativa, más allá de las visiones departamentales, que aporte sencillez y funcionalidad al elevado número de ficheros declarados. 36

37 Conclusiones: Balance de 3 años Seguridad TIC TECNOLOGÍA NORMATIVA ORGANIZACIÓN 37

38 Conclusiones: Tareas pendientes Gestión de la impresión en la WAN de PG: Evitar la copia indiscriminada de información del Ministerio (cuando el carácter de la información lo aconseje). Imbricar todas las iniciativas descritas en un Sistema de Gestión de Seguridad de la Información (ciclo PDCA: ISO 27001). Implantar un Centro de Operaciones de Seguridad (SOC). Proseguir en la concienciación y sensibilización de los usuarios de la WAN de PG (la primera y más sencilla puerta de entrada). 38

39 Muchas gracias por su atención Cte. Jesús Gómez Ruedas 39